SEC与SolarWinds就2020年漏洞事件达成和解

美国证券交易委员会（SEC）与SolarWinds已原则上达成和解，以解决针对该组织及其首席信息安全官Tim Brown的诉讼。该诉讼指控其安全缺陷导致俄罗斯国家黑客组织Cozy Bear攻破了其IT性能管理平台Orion。

2020年12月曝光的所谓Sunburst/Solorigate供应链事件中，俄罗斯黑客将恶意代码植入SolarWinds平台，随后以合法更新的形式无意中推送至下游目标。近2万名SolarWinds客户下载并安装了恶意更新，其中包括网络攻击的真实目标——美国政府机构，如能源部（DoE）和维护美国核武器库存的国家核安全管理局（NNSA）。

在致纽约南区美国地方法院主审法官Paul Engelmayer的信中，SEC和SolarWinds代表表示，他们已原则上达成和解，“将完全解决此诉讼”，但需经SEC委员审查和批准。他们请求在计划最终和解提交日期（9月12日）之前暂停所有未决日期。Engelmayer祝贺双方取得“富有成效的进展”，并随后暂停了案件中的所有截止日期，并推迟了原定于本月晚些时候进行的口头辩论。

SolarWinds发言人表示：“和解需经委员会批准，因此我们目前无法讨论条款。我们对潜在解决方案感到满意，并很高兴能专注于推动业务发展而不受干扰。”

指控被驳回

去年，Engelmayer驳回了SEC对SolarWinds和Brown的大部分指控，这些指控称他们故意欺诈投资者，夸大组织安全实践的韧性，并低估或未披露已知风险。SEC声称，被告忽视、掩盖甚至直接向客户谎报了2020年期间针对不同Orion用户的各种网络攻击之间的联系。Engelmayer最初驳回许多指控，包括那些源于事件曝光后SolarWinds披露的指控，是基于这些指控依赖事后分析和推测。

然而，他维持了一些指控，包括SEC投诉中关于SolarWinds访问控制韧性的公开虚假陈述部分。考虑到SEC广为人知且深入分析的2023年底生效的安全事件报告规则，该规则将焦点牢牢放在安全领导者在事件后采取的行动上，其选择达成全面和解的原因可能值得分析。

Computer Weekly的姊妹刊物Cybersecurity Dive指出，现在控制SEC的共和党多数可能影响了监管机构的妥协意愿——最初的案件是由民主党领导的机构在前总统乔·拜登领导下提起的。支持美国政治格局剧烈变化是SolarWinds和解背后的理论，SEC最近还撤销了涉及加密货币公司（如Binance、Coinbase和Crypto.com）的多起执法案件。这是在特朗普白宫1月23日发布旨在支持加密行业的行政命令之后发生的。

阅读更多关于SolarWinds事件的信息

黑客通过向SolarWinds的Orion IT监控和管理软件部署恶意代码来针对该平台，该软件被全球数千家企业和政府机构使用。本集涵盖了SEC对SolarWinds和CISO Timothy Brown的指控，指控他们在2020年供应链攻击之前隐藏已知的网络安全风险。SolarWinds首席执行官Sudhakar Ramakrishna谈到了公司的可观察性策略，并提供了其技术路线图的一瞥。